freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

bs架構體系安全滲透測試基礎-在線瀏覽

2025-02-27 08:54本頁面
  

【正文】 項或輸出項進行類型、長度以及取值范圍進行驗證,著重驗證是否對 HTML或腳本代碼進行了轉義。 索迪教育 IT成就人生 注入缺陷 ? 注入缺陷 ? 目前的 Web 應用中,絕大多數(shù)都會向用戶提供一個接口,用來進行權限驗證、搜索、查詢信息等功能。這些都是注入缺陷的最佳利用場景。如果用戶的輸入是正常合法的, Web 應用自然會返回正常合理的結果,但是,如果惡意攻擊者,利用輸入數(shù)據(jù)可被后臺執(zhí)行的原理,偷梁換柱,使用非法的輸入,脆弱的 Web 應用會怎樣呢? ? 下面舉一個例子來說明注入缺陷是如何進行的。為了實現(xiàn)這個需求,通常會用 SQL 語句查詢數(shù)據(jù)庫來實現(xiàn)。如果用戶輸入 325,則該語句在執(zhí)行時變?yōu)椋? Select * from products where product_id = ` 325 ` 數(shù)據(jù)庫會將 ID 為 325 的產品信息返回給用戶。 ? 3) 通過黑客的非法輸入,需要執(zhí)行的 SQL 語句變?yōu)椋? Select * from products where product_id = ` ` or `1`=`1` 可以看出, SQL 語句的意義就完全改變了,當產品 ID 為空或者 1= 1 時,返回產品所有信息,而 1= 1 是永遠成立的條件,因此,黑客并沒有輸入任何產品編號,就可以返回數(shù)據(jù)庫中所有產品的詳細信息。 索迪教育 IT成就人生 如何預防 SQL注入 ? 從應用程序的角度來講 ,我們要做以下三項 工作 : 1. 轉義敏感字符及字符串 (SQL的敏感字符包括“ exec” ,” xp_” ,” sp_” ,” declare” ,” Union” ,” cmd” ,” +” ,” //” ,” ..” ,” 。最根本的解決手段 ,在確認客戶端的輸入合法之前 ,服務端拒絕進行關鍵性的處理操作 . ? 從測試人員的角度來講 ,在程序開發(fā)前 (即需求階段 ),我們就應該有意識的將安全性檢查應用到需求評審中 ,例如對一個表單需求進行檢查時 ,我們一般檢驗以下幾項安全性問題 : 1. 需求中應說明表單中某一 FIELD的類型 ,長度 ,以及取值范圍 (主要作用就是禁止輸入敏感字符 ) 2. 需求中應說明如果超出表單規(guī)定的類型 ,長度 ,以及取值范圍的 ,應用程序應給出不包含任何代碼或數(shù)據(jù)庫信息的錯誤提示 . 當然在執(zhí)行測試的過程中 ,我們也需求對上述兩項內容進行測試 . 索迪教育 IT成就人生 信息泄漏和不正確的錯誤處理 ? 此漏洞利用的重點在于應用程序未能正確處理自身發(fā)生的錯誤 ,技術重點在于某些應用程序出錯時,會把錯誤信息反饋到用戶端,這些錯誤信息通??捎糜谡{試的目的 , 從錯誤反饋信息中獲取有用的信息,從而加以利用,突破網(wǎng)站安全。這種情況更多見于 PHP+MySQL的 Web應用,一些程序人員沒有正確的做異常處理,當發(fā)生錯誤里,系統(tǒng)向瀏覽器端返回了本來是用于調試目的的相關信息。 ? 例如:某個網(wǎng)站的 MySQL停止了運行,而這時用戶訪問此網(wǎng)站時,發(fā)現(xiàn)網(wǎng)頁提示如下信息: MySQL Error:Lost connection to MySQL server during query 從這個回饋來看,用戶請求的頁所使用的數(shù)據(jù)庫是 MySQL ! 這無疑暴露是安全人員所不希望看到的。 從服務器角度,關閉調試信息回饋功能,并且善用異常處理功能,可以盡可能避免此類安全漏洞。 ? 我們假定三個角色:攻擊者、用戶、網(wǎng)上銀行、一個論壇。 我們注意到,這個過程很象跨站腳本攻擊,但實際上,是完全不同的。 索迪教育 IT成就人生 ? 這里的問題在于,論壇用戶不能上傳 js腳本,于是直接利用 URL來誘騙用戶,以致于完成數(shù)據(jù)操作。 對于 web站點,將持久化的授權方法(例如 cookie)切換為瞬時的授權方法(在每個 form中提供隱藏 field),這將幫助網(wǎng)站防止這些攻擊。 索迪教育 IT成就人生 未能限制 URL訪問 ? 由于各頁面以及
點擊復制文檔內容
教學課件相關推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1